El jue, 07 de sep de 2006, a las 02:04:07 +0000, enediel gonzalez dijo: > >Hasta aca vamos bien... > nos vamos entendiendo > > > >> cuestion se opera por esta via, es por ello que yo me referia a > >interfaces > >> web, ademas de poseer sus bases de datos. > >> > >> como opciones del sistema se incluyen algunas de administracion (todo a > >> traves del sitio web), > > > >Aqui es donde no me cuadra el asunto: estas planteando un esquema de alta > >seguridad, pero a su vez permites "administrar > >por interfase web" a todo el mundo? > >Algo contradictorio verdad? > > para nada, > tareas de administracion pueden incluir, > -crear un nuevo usuario que opere el sistema por web (se hace por paginas > web) > - modificar parametros generales para la operacion del sistema (se hace por > paginas web tambien) > -efectuar ciertas cancelaciones de transacciones (se hace por paginas web > tambien) > -otras cosas por el estilo, operaciones que se ejecutan por paginas web. > -apagar el server si es necesario > > como ves, la palabra administracion la tengo asociada a administracion del > sistema instalado, no tiene que ver nada con administrar sarge. No. En este caso apagar el servidor, de ninguna manera va asociada a programas que corren bajo un Apache. Apagar un servidor es administrar Sarge, te guste o no. Aqui es donde no le veo el menor sentido a que le des esa opcion a quienquieraquesea desde el Apache. Es mi opinion y no quiero seguir inundando la lista con ella.... > no es el unico modo de hacerlo. > > esta programado para que al momento de tu seleccionar apagar el servidor, > se genere un fichero vacio en una carpeta, y con un proceso en el cron que > revisa la existencia de este fichero, al detectar que existe, lo borra y es > el que realmente apaga la maquina. Realmente debo admitir que es tan ocurrente como vulnerable a primera vista. > >Dejar esa opcion a usuarios comunes es casi tan suicida como instalarle > >Windows (R). > > de la forma que te explique ahora aun lo consideras asi? Explicame la diferencia entre eso y darle sudo al usuario de marras, aunque creo que hara rebuznar a mas de uno por OT. > ademas, obviamente, no todos los usuarios que acceden al sistema por web > tienen esos permisos 'de administracion' No reinventes la rueda: si aun crees que darle a algun usuario permiso de apagar el servidor es una idea que merece respeto, usa cosas que ya existen como (disculpen que lo nombre) webmin. > >> Este es el escenario, ahora el problema. > >> ----------------------------------------------------- > >> Se pretende proteger a estos servidores frente al hecho que alguien lo > >> apague, haga una imagen del disco, y luego poniendo este como esclavo en > >> otra maquina pudiera hacerse de informacion sensible. > > > >Eso ya fue contestado: la unica opcion que conozco es cifrar los datos o > >enterrar los servidores en algun bunker varios > >metros bajo tierra, sellar la entrada con algun material a prueba de > >explosiones nucleares y tragarse la(s) llave(s). > > ;>D > el dia que escribas un correo con la ausencia de tu acostumbrada > originalidad, padecere de taquicardia, me montare en un avion y te llevo > las medicinas que te faltan, pues te aprecio y respeto bastante. Gracias a Dios, la unica medicina que necesito para seguir viviendo es la sonrisa de mis hijas. > es solo un problema mas, con sus condiciones particulares, y las nuevas > ideas siempre son puntos de partidas al desarrollo, te imaginas que todo ya > fuese resuelto, seria un fastidio. Me gustaria comprobarlo empiricamente para poder contestarte :) > >> lo que he visto relativo a temas de encryptacion como por ejemplo > >> http://www.debian-administration.org/articles/428 > >No tengo acceso a leer eso ahora, pero /imagino/ que involucra dm-crypt o > >similar lo cual ya creo haberte recomendado. ahora pude leerlo: efectivamente, ademas de cryptestup/dm-crypt usa luks....yo aun no lo he probado, pero he escuchado maravillas de el :) Creo que en el articulo que mencionas no esta cifrando/limpiando la(s) particiones de intercambio. Yo lo hago siempre en esquemas de alta paranoia. El esquema que yo te propuse es muy similar al de esta persona....leyendolo se me ocurrio lo siguiente (cuidado! es una idea no probada/implementada/etc) Ademas de necesitar el "llavero" USB para poder desencriptar la particion, agregar una linea al /etc/init.d/ en cuestion de manera que tras verificar que el llavero es el correcto, se conecte via ssh a donde tu le indiques y una vez conectado alli, "algo suceda" (lease ingresar una contraseña, secuencia de comandos, solicitar algun certificado o loquetulocacabeza elabore) para poder continuar montando la particion, caso contrario -> shutdown. > probare lo que me propusiste > >> conciben que quien este frente al servidor tenga acceso de algun modo a > >la > >> llave que permite desencryptar las particiones, y como les explique > >> anteriormente, ellos no son los verdaderos administradores del sarge. > >No tienen porque /conocer/ la clave. > >Solo puden poder ingresarla al momento de pedirla. > >Logicamente si no confias en ellos, pues tienes 2 opciones: > >1) Hacerlo tu o alguien en quien confies > como ves son remotos y se pretende que trabajen autonomos, Entiendo el concepto, por ello es que te dije para que demonios deseas apagarlos? Cuando uno planea un servidor remoto autonomo, lo instala de manera que no sea necesario apagarlo nunca! > y si confio en > ellos sencillamente no tiene sentido la seguridad que se busca. A alguien debes darle la contraseña de root para el caso que te atropelle un OVNI. > >2) Usar claves de una sola vez. > vere a que te refieres con esto. A usa claves que una vez utilizada se autodestruya y se genere otra que la reemplaze. > >> dada las condiciones iniciales, busco la opcion que el sistema arranque > >> autonomo desencryptando las particiones sin que sea preciso entrar > >alguna > >> clave manualmente, y que de darse el caso anterior no puedan hacer uso > >> alguno del contenido. > >Eso implicaria que la clave este en el disco o en algun lugar accesible en > >el servidor a la hora de arrancar, con lo > >cual el sentido de cifrarlo se pierde absolutamente, pues les das a los > >ladronzuelos la llave con la que cierras el > >candado. > > nos entendemos perfectamente en este punto. > si me demuestro que es insoluble, es natural que haya que replantearselo, > estoy al menos buscando si puedo solucionarlo asi como esta. > > mi aprecio y mi respeto hacia ti, siempre por defecto . Si crees que esto es OT para la lista, puedes consultarme en privado. -- Ricardo A.Frydman Consultor en Tecnología Open Source - Administrador de Sistemas jabber: ricardoeureka@gmail.com - http://www.eureka-linux.com.ar SIP # 1-747-667-9534
Attachment:
signature.asc
Description: Digital signature